Orientaciones del CEPD sobre el marketing dirigido en redes sociales

El pasado 2 de septiembre, el CEPD publicó sus Directrices 7/2020 sobre el marketing dirigido en redes sociales, con el objetivo de aclarar las implicaciones que estas prácticas pueden tener en la privacidad y protección de datos.

La mayoría de plataformas de redes sociales permiten a los usuarios configurar sus preferencias de privacidad mediante la selección de un perfil público o privado. Sin embargo, las fotografías, los vídeos y los textos no son los únicos datos personales que se tratan: ¿qué ocurre con los datos de analytics que se emplean con fines de marketing dirigido? Los datos de analytics son también datos personales, y como tal deberían protegerse. El Comité Europeo de Protección de Datos (CEPD), consciente de los riesgos que esto puede suponer para los derechos y libertades fundamentales de los interesados, ha publicado estas Directrices que ofrecen recomendaciones en relación a los roles y responsabilidades de las principales partes implicadas.

Partes involucradas en el marketing dirigido en redes sociales

El EDPB explica los conceptos de proveedores de redes sociales, usuarios y “targeters”.

  • Proveedores de redes sociales se define como los proveedores de plataformas en línea que permiten el desarrollo de redes y comunidades de usuarios, entre los cuales se comparte información y contenido.
  • Usuarios son aquellos individuos que se registran en los servicios y crean cuentas y perfiles, cuyos datos se emplean con finalidades de marketing dirigido. Este término también abarca a aquellas personas que acceden a los servicios sin estar registrados.
  • Targeters se refiere a aquellas personas físicas o jurídicas que comunican mensajes específicos a los usuarios de redes sociales con el propósito de promover intereses comerciales, politicos o de otro tipo, sobre la base de una serie de parámetros o criterios específicos.
  • Otros actores que también podrían ser importantes son los proveedores de servicios de marketing, redes de anuncios, intercambios de anuncios, plataformas de oferta-demanda, brokers de datos, proveedores de plataformas de gestión de datos y empresas de analytics.

Resulta imprescindible identificar de manera correcta los roles y responsabilidades que cada uno de los actores tiene en el proceso, pues la interacción entre los proveedores de redes sociales y otros actores puede dar lugar a una situación de corresponsabilidad bajo el RGPD.

Riesgos para los derechos y libertades de los usuarios

El CEPD señala algunos de los principales riesgos que se pueden derivar del marketing dirigido en redes sociales:

  • Usos de los datos personales que van en contra o sobrepasan las expectativas razonables de los interesados.
  • Combinación de datos personales de diferentes fuentes.
  • Existencia de actividades de elaboración de perfiles conectadas con el marketing dirigido.
  • Obstáculos a la habilidad individual de los interesados de ejercer control sobre sus datos personales.
  • Falta de transparencia en relación al rol de los diferentes actores y actividades de tratamiento.
  • Posibilidad de discriminación y exclusión.
  • Potencial posible manipulación de los usuarios e influencia indebida sobre ellos.
  • Polarización política e ideológica.
  • Sobrecarga de información.
  • Manipulación de la autonomía de los menores y su derecho al desarrollo.
  • Concentración de mercados.

Jurisprudencia relevante

El CEPD analiza los roles y responsabilidades de los proveedores de redes sociales y targeters a través de la jurisprudencia relevante del TJUE al respecto, en concreto los casos Wirtschaftsakademie (C-210/16) y Fashion ID (C-40/17):

  • En su sentencia en el caso Wirtschaftsakademie, el TJUE decidió que debe considerarse que el administrador de la denominada “fan page” de Facebook toma parte en la determinación de los fines y medios del tratamiento de datos personales. El razonamiento tras esta resolución es que la creación de una “fan page” implica la definición de parámetros por el administrador, lo cual tiene una influencia en el tratamiento de datos con la finalidad de producir estadísticas basadas en la visitas de una fan page, mediante el uso de filtros ofrecidos por Facebook.
  • En el caso Fashion ID, el TJUE decidió que un operador de una página web puede ser considerado responsable al incorporar el botón de Facebook en su página web, lo cual hace que el navegador del usuario visitante transmita datos personales a Facebook. Sin embargo, la responsabilidad del operador de la página web estará “limitada a la operación o conjunto de operaciones que forman parte del tratamiento de datos en relación a las cuales se determinan los fines y medios del tratamiento”. Así por tanto, el operador de la página web no será responsable respecto de las operaciones posteriores llevadas a cabo por Facebook después de que los datos hayan sido cedidos.

Roles y responsabilidades del os proveedores de redes sociales y targeters

Los usuarios de redes sociales pueden ser objeto de marketing dirigido sobre la base de los datos proporcionados por ellos mismos, datos observados y datos inferidos, o bien una combinación de las diferentes categorías.

En la mayoría de casos, tanto el targeter como el proveedor de redes sociales participarán en la determinación de los fines (por ejemplo, mostrar un anuncio específico a un conjunto de usuarios que coinciden con la audiencia seleccionada) y medios (por ejemplo, a través de la elección de usar los servicios que ofrece el proveedor de redes sociales y solicitarla que selecciona una determinada audiencia conforme a unos criterios, por un lado y mediante la decisión de qué categorías de datos serán tratados, que criterio de selección se empleará y quién tendrá acceso, por otro) del tratamiento de datos personales, por tanto serán considerados corresponsables conforme al artículo 26 del RGPD.

Como señala el TJUE en el caso Fashion ID, la corresponsabilidad se extenderá únicamente a aquellas operaciones de tratamiento para las cuales el targeter y el proveedor de redes sociales determinen de manera conjunta y efectiva los fines y medios, como el tratamiento de datos personales que resulta de una selección derivada de la aplicación del criterio elegido, la exhibición del anuncio a dicha audiencia y el tratamiento efectuado por parte del proveedor de redes sociales para informar sobre los resultados de la campaña al targeter. Sin embargo, esta corresponsabilidad no abarcará los tratamientos de datos personales que ocurran en otras fases, antes de la elección del criterio relevante o después de que se haya completado la operación de selección y reporte.

El CEPD también recuerda que contar con acceso a los datos personales no es un prerrequisito de corresponsabilidad y por tanto el análisis detallado en las líneas anteriores continuará aplicándose incluso también cuando el targeter sólo especifique los parámetros de la audiencia objetivo y no tenga ningún tipo de acceso a los datos de los usuarios.

Bases legítimas para el tratamiento

Es importante destacar que, como corresponsables, tanto el proveedor de redes sociales como el targeter deben ser capaces de demostrar la existencia de una base legal conforme al Artículo 6 RGPD para justificar el tratamiento de datos personales que concierne a cada uno de ellos.

En términos generales, las dos bases legítimas que de forma más probable serán aplicables son el interés legítimo y el consentimiento de los interesados.

A fin de que el interés legítimo sea una base válida, deben cumplirse tres criterios que son acumulativos:

  • (i) la persecución de in interés legítimo que se da para cada uno de los responsales o las terceras partes a las cuales se van a ceder los datos;
  • (ii) la necesidad de tratar datos personales para la finalidad de los intereses legítimos que se persiguen;
  • (iii) la condición de que los derechos y libertades de los interesados cuyos datos requieren protección no prevalezcan.

Además, se debería ofrecer a los interesados la opción de oponerse al tratamiento de tal forma que no sólo se les dé la posibilidad de oponerse a la exhibición del anuncio derivado de marketing dirigido, sino también que cuenten con controles que aseguren que no tendrá tampoco lugar el tratamiento subyacente de sus datos con la finalidad de prácticas de marketing dirigido una vez que han ejercido su derecho de oposición.

Sin embargo, el interés legítimo no será una base adecuada en algunos casos, en los cuales se requerirá consentimiento. Así ocurrirá, por ejemplo, cuando intervengan prácticas intrusivas de rastreo y elaboración de perfiles con finalidades de marketing que monitoricen a los interesados a lo largo de diferentes páginas web, localizaciones, dispositivos y servicios.

El CEPD también subraya que el consentimiento recogido para la implementación de tecnologías de rastreo deberá cumplir con los requisitos recogidos en el artículo 7 del RGPD. Así por tanto, Casillas pre-marcadas por el proveedor del servicio que el usuario tendría que desmarcar a fin de rechazar su consentimiento no constituye un consentimiento válido. Además, conforme al Considerando 32 del RGPD, acciones como navegar por la página web o similar no satisfarán bajo ningunas circunstancias el requisitos de una clara acción afirmativa, porque dichas acciones puede ser difíciles de distinguir de otras derivadas de la interacción del usuario, lo que significa  que concluir que se ha obtenido un consentimiento inequívoco tampoco sería posible. Asimismo, en tal caso, resultaría complicado ofrecer al usuario una forma de retirada del consentimiento de tal manera que sea tan sencilla como lo fue otorgarlo.

El responsable que debería encargarse de recoger el consentimiento será aquel que tome parte primero en el contacto con los usuarios. Esto es así porque para que el consentimiento sea válido tiene que haber sido obtenido con anterioridad al tratamiento. El CEPD también recuerda que el responsable que recoja el consentimiento de los interesados deberá hacer referencia al resto de responsables implicados a quienes se les vayan a a ceder los datos y que deseen basarse en el consentimiento original.

Finalmente, cuando existan actividades de elaboración de perfiles que pudiesen tener “efectos similares” en los usuarios (por ejemplo, los anuncios sobre apuestas en línea), el artículo 22 del RGPD será de aplicación, lo que implica que en cada caso se tendrá que elaborar una evaluación por parte del responsable o corresponsables en cada caso para determinar los elementos relevantes del tratamiento y las posibles medidas de mitigación de los riesgos.

 

El CEPD recibe comentarios sobre estas Directrices hasta el 19 de octubre.

 

Si estás interesado en conocer más sobre la corresponsabilidad del tratamiento, echa un vistazo a nuestro último blog Corresponsabilidad del tratamiento: indicaciones clave del CEPD.

 

¿Utilizas técnicas de marketing dirigido? ¿Tienes dudas sobre cómo cumplir con la normativa y las últimas Directrices del CEPD? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impactocumplimiento con la CCPAevaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos.

 

 

Leave a Comment

(0 Comentarios)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *